В конце прошлой недели один пользователь заметил, что защищенный почтовый сервис Protonmail стал выдавать ему при входе Google reCAPTCHA и пожаловался об этом на Github, а потом обсуждение перекинулось на Hackernews. Почему пожаловался - в целом понятно: reCAPTCHA это продукт Google, бизнес Google - собирать информацию о пользователях и делать на этом деньги, а Protonmail - компания, которая говорит, что заботится о приватности. Непорядок!

В общем, выяснилось, что Protonmail показывает пользователям Google reCAPTCHA с 2014 года, это есть в их документации и privacy policy, и cтатистически в любой момент примерно 1-2% пользователей приходится ее решать. Пару недель большие ботнеты стали перебирать пароли от аккаунтов пользователей, инженеры сервиса настроили reCAPTCHA на большую "подозрительность" и настоящие пользовали это быстро заметили и возмутились. Когда Protonmail выбирал поставщика CAPTCHA в 2014 году, хороших альтернатив Google reCAPTCHA они не видели, а сейчас такие альтернативы есть и последние полгода Protonmail работает над переходом на hCAPTCHA. Это такой альтернативный сервис капч с большим акцентом на приватность, и не от Google.

Эта история - отличная иллюстрация того, насколько токсичную репутацию заработал себе Google в среде пользователей, которые разделяют ценности онлайн-приватности. И если вы разрабатываете или обслуживаете веб-приложения, использующие CAPTCHA, и не любите Google, - поковыряйтесь c hCAPTCHA, его в целом хвалят.

ФБР договорилось заливать базы украденных паролей на онлайн сервис проверки взломанных аккаунтов haveibeenpwned.com и владелец сервиса заказывает под это разработку. Раньше сервис всегда обновлялся в ручном режиме, а теперь речь идет о постоянном партнерстве с ФБР и автоматическом приеме утечек от таких партнеров.

Если все сработает, ФБР получит возможность эффективно предупреждать пользователей, чьи пароли украдены, через службу рассылки уведомлений https://haveibeenpwned.com/notifyme, а Haveibeenpwned сможет предлагать свою систему другим спецслужбам и подобным организациям. А в результате мы можем на шаг приблизиться к ответу на базовый вопрос информационной безопасности, на который хорошего ответа пока не существует: "Когда пользователям надо менять пароли?". Уже известно, что регулярно менять пароли люди просто не умеют, но может они все-таки будут их менять, если появится достаточно полная общая база украденных паролей с быстрыми оповещениями, которая при этом будет независимым бесплатным публичным сервисом? История с ФБР выглядит как важный шаг в эту сторону.

И снова про Google и онлайн-приватность. На прошлой неделе американский суд опубликовал новые документы о том, как Google собирает геолокацию пользователей, даже если они включают разные настройки приватности, которые должны этому препятствовать.

Судя по документам, когда пользователь дает любому приложению в Android доступ к геолокации, Google получает доступ к этим данным за компанию, и изменить это никак нельзя. А еще там есть документы, по которым Google тестировал с пользователями разные варианты настроек приватности в интерфейсе Android и умышленно выбирал варианты, в которых пользователи статистически настраивали поменьше и отдавали побольше информации о себе.

Сам судебный процесс прокуратуры штата Аризона против Googlе продолжается, а документы опубликованы как имеющие большую общественную важность. Прокуратура считает, что все эти мутные практики - часть бизнес-модели корпорации, позволяющая больше зарабатывать на таргетированной рекламе.

Мда, одно дело - читать о "плохом" Google на форумах шифропанков, там все-таки люди с убеждениями, и совсем другое - в американских судебных документах. Перейти что ли на Graphene OS?

Ведомости пишут, что в этом году запланировано тестовое внедрение умной системы "предикативной безопасности" в одной школе в Московской области. Разработчики обещают стоимость внедрения в зависимости от комплектации от 500 000 до 6,5 миллионов рублей.

В целом понятная идея: установить по школе камеры, централизованно следить за всеми учениками, а наверх прикрутить нейронку и алерты. Обещают ловить катание на перилах, бег по коридору и другое нетипичное поведение и опасные ситуации. Судя по тому, что это будет первое тестовое внедрение, первое время все это может работать абы как, а потом систему получится допилить или нет.

Нейронку в материале, кстати, описывают каким-то волшебным способом за те деньги, которые стоит внедрение, но может начальник недопонимает: "Чтобы определить психоэмоциональное состояние ребенка, мы используем нейронную сеть, которая сравнивает заложенные в нее эмоции и анализирует все факторы, от оценок ученика до его поведения, – говорит исполнительный директор группы компаний «Союзинфотех» Александр Кочуров. – Если у ребенка, по данным системы, три дня подряд плохое настроение, школьному психологу и учителю придет уведомление, которое подскажет специалистам, что нужно обратить внимание на ученика и поговорить с ним".

Само присутствие слежки действительно заставляет людей подчиняться и следовать правилам, это доказанный факт. Но очень хочется решать социальные проблемы еще какими-нибудь способами кроме "будем все время за всеми следить, и прикрутим нейронку и алерты".

Правообладатели фильмов "Далласский клуб покупателей", "Рэмбо V: Последняя кровь", "Телохранитель киллера" и других подали в суд на хостинг-провайдеров Leaseweb и Sharktech за то, что те предоставляют услуги VPN-провайдерам. Требуют денег, блокирования портов bittorrent 6881-6889, и блокировки пользователей, которые регулярно нарушают авторские права.

В прошлом году те же правообладатели судились с торрент-трекером YTS. В результате последнему пришлось слить им базу данных с IP-адресами, которые раздавали фильмы, и там оказалось много адресов VPN-сервисов. Но многие VPN-сервисы умышленно не хранят логов активности пользователей. Хуже того, не всегда очевидно, какому конкретно VPN-провайдеру принадлежит IP-адрес, хотя сейчас правообладатели предполагают, что их фильмы пиратили пользователи LiquidVPN, NordVPN и ExpressVPN.

Особенно интересный момент с блокировкой пользователей за повторные нарушения. По американскому закону об авторском праве в цифровую эпоху, DMCA, сервисы должны уметь определять и наказывать тех, кто пиратит регулярно. Но в данной ситуации это требование - технически невыполнимо, хостинг-провайдер не знает, какой пользователь VPN что делает. Возможно, в результате Leaseweb и Sharktech придется запрещать качать через них торренты вообще, а VPN-провайдерам - искать новых хостеров в юрисдикциях, куда правообладателям будет сложнее добраться.

Вышла новая версия OnionShare (https://onionshare.org/), которую разрабатывает известный айтишник-активист Micah Lee.

OnionShare это утилита, которая позволяет анонимно передавать и получать файлы через Tor, а также хостить в сети Tor статические вебсайты и организовывать анонимные чаты. Во всех этих случаях человеку с другой стороны не нужно устанавливать OnionShare, достаточно Tor Browser. Утилита опенсорс, работает под Windows, Linux и Mac OS, у нее приличный интерфейс и есть документация на русском.

Сотрудница "Эха Москвы" пишет, что у нее взломали Госуслуги, поменяли адрес на Челябинск и в "действиях в системе" осталась запись про "Центр обработки персональных данных Всероссийской политической партии "Единая Россия". Выглядит, как будто через ее аккаунт кто-то поучаствовал в Предварительном голосовании на сайте "Единой России", которое как раз предлагает пользователям авторизоваться через Госуслуги (точнее, через их систему ЕСИА, Единую систему идентификации и аутентификации) и выдать "Единой России" права на доступ к своим данным. Двухфакторной аутентификации у пользователя не было, она пожаловалась в техподдержку, техподдержка сказала включать двухфакторную.

Через аккаунты в Госуслугах можно заходить в личный кабинет налогоплательщика, онлайн-систему ЖКХ, бесплатный вайфай в московском метро и еще очень много куда. Поэтому их действительно стоит защищать. Кроме очевидного совета про уникальные пароли, в ЕСИА есть двухфакторная аутентификация (правда, только по смс) и уведомления на электронную почту при входе. Все это настраивается через https://esia.gosuslugi.ru/. Сходите проверьте, как у вас.

ЕС вводит единые электронные COVID-паспорта, которые позволят снять ограничения на поездки по всем странам Евросоюза. Постановление об этом вступает в силу 1 июля, а потом еще в течение шести недель страны будут постепенно вводить эту систему. На официальной странице есть таблица, как страны вводят эти паспорта, и Болгария, Хорватия, Чехия, Дания, Германия, Греция и Польша полностью готовы прямо сейчас. В списке одобренных вакцин Спутника пока нет, его тестирование должно закончиться этим летом. Паспорта необязательные, пишут, что без них тоже можно будет путешествовать.

С технической точки зрения паспорт - это QR-код на бумаге или на электронном носителе, который выдают больницы, центры тестирования и органы здравоохранения. QR-код содержит персональные данные (имя, дата рождения, дата выдачи сертификата, информация о вакцинации, тесте на антитела или подтверждение, что человек переболел), уникальный ID и цифровую подпись выдавшего сертификат учреждения. При проверке за границей персональные данные никуда не будут сохраняться, система будет проверять только то, что человек показывает свой собственный сертификат, и что такой сертификат действительно был выдан.

Проверять цифровые подписи, но не сохранять персональные данные в этом случае кажется хорошим решением.

Марк Цукерберг и руководитель Whatsapp Уилл Кэткарт дали интервью, в котором рассказали о планируемых новых фичах безопасности Whatsapp. Говорят что очень скоро появится возможность настраивать:

• Чтобы переданные фото и видео исчезали после первого просмотра получателем.
• Чтобы логи всех чатов автоматически удалялись через 7 дней. Сейчас удаление по таймеру уже есть, но надо настраивать для каждого чата отдельно.

А еще в течение двух месяцев обещают запустить в бету полноценную поддержку четырех устройств в аккаунте с сохранением оконечного (end-to-end) шифрования.

Анонсированные изменения безопасности помогают защищаться от нарушителей, которые могут получить доступ к устройствам пользователей. Whatsapp по-прежнему самый популярный мессенджер в мире и в России, поэтому, наверное, это не плохо.

При этом, после последнего изменения политики конфиденциальности Whatsapp стал делиться метаданными с Facebook, и нововведения в этом смысле ничего не меняют, Facebook по-прежнему будет получать много метаданных, в том числе:

• как вы взаимодействуете с другими людьми
• время, частота и продолжительность ваших действий и взаимодействий
• фото профиля
• данные геолокации
• модель устройства и операционная система
• номер телефона
• IP-адрес
• информация о работе устройства

И дальше длинный список, почитайте политику конфиденциальности, там все расписано. Такие удобные бесплатные продукты и есть основа того, что называется "капитализм, основанный на слежке".

Знаете известную картинку, где человек стоит напротив четырех танков во время акций протеста на площади Тяньаньмэнь в Китае в 1989 году? Пользователи ее обычно ищут в интернете по запросу "tank man". Так вот, вчера поисковая система Microsoft Bing применила свои китайские правила цензуры для пользователей по всему миру и показывала всем, что на такой поисковый запрос по картинкам "результатов нет". А поскольку приватная поисковая система DuckDuckGo использует под капотом "обогащенную" выдачу Bing, то она результатов-картинок тоже не выдавала. И Yahoo Search не выдавал, потому что он тоже Bing.

Пользователи возмутились, Microsoft сказал, упс, человеческий фактор, все починили, сейчас картинку показывает. Но блин, сколько власти у больших поисковиков! И VPN с DuckDuckGo могут не исправить ситуацию.

В комментариях к предыдущему посту коллега предлагает бороться с цензурным беспределом поисковиков при помощи мета-поисковой системы SearX, в которой пользователь может сам выбрать в настройках, из каких источников будет собираться его поисковая выдача. В документации написано, что SearX не генерирует поисковые профили пользователей, опенсорс, режет рекламу и встраивается дефолтным поиском в браузеры. А если кто умеет, можно поднимать собственные сервера и настраивать, как хочешь.

Список публичных серверов SearX здесь, некоторые даже Яндекс поддерживают из коробки (это можно посмотреть во вкладке Engines). Придется доверять выбранному серверу, но по доменным именам часто можно разобраться, кто ими управляет. В остальном выглядит круто, стоит попробовать.

Вышло новое исследование о том, как у Великого Китайского Файрволла устроена блокировка по доменным именам (DNS). В общем, в Китае тоже блокируют криво, а китайская цензура "протекает" в большой интернет зарубежным пользователям.

Во-первых, исследователи нашли всего 311 тысяч заблокированных доменов. Во-вторых, выяснилось, что китайские цензоры тоже используют кривые правила, из-за чего 41 тысяча доменов блокируется ошибочно, за компанию с другими доменами (это как в России в марте Роскомнадзор замедлял Твиттер по маске "t.co" и ошибочно замедлил кучу случайных сайтов, типа microsoft.com). В-третьих, оказывается, что китайская цензура "протекает" в большой интернет и можно попасть под ее правила, не находясь в Китае. Это происходит из-за того, что в Китае при блокировке оборудование не сбрасывает соединение и не рисует пользователям заглушку "Доступ ограничен по требованию суда", а просто выдает в ответ другие адреса, и часто эти "отравленные" цензорами ответы запоминают и начинают раздавать международным пользователям некитайские публичные DNS-сервера, например Google, Yandex или Cloudflare. Таких случаев исследователи нашли около 77 тысяч. В отчете они предлагают операторам публичных DNS-серверов решать эту проблему, сверяя записи у себя с базой китайских блокировок, которую они обещают скоро опубликовать.

В отличие от России, в Китае нет публичных списков блокировки, поэтому исследователи развернули собственную систему тестирования GFWatch и в течение 9 месяцев тестировали более 400 миллионов доменов каждый день.

В общем, непубличные внеереестровые блокировки - это неправильно. Цензоры косячат, а пользователи думают, что так и надо.

Apple анонсировал новые фишки запланированной на осень IOS 15 и предстоящий апгрейд своего облака, iCloud+.

Технически самое интересное в анонсе - это iCloud Private Relay, Приватный прокси iCloud. При его использовании весь интернет-трафик пользователей браузера Safari будет проходить два промежуточных прокси-узла: первый Apple-овский (где подменяется ip-адрес пользователя), а второй - какого-то внешнего партнера Apple.

По идее в этой системе Apple знает IP-адрес пользователя, но не знает, куда он идет, а прокси партнера Apple знает, куда идет пользователь, но не знает его IP. Выглядит, как будто идею скопировали у сети Tor, но убрали третий узел и в результате пользователям досталась приватность, а не анонимность. Apple таким образом хочет помешать сайтам и рекламодателям следить за пользователями по IP-адресам и местоположению. При этом сама корпорация придумала все так, что не сможет собирать логи пользовательского трафика, иначе это была бы массовая слежка, а не приватность. А заодно при помощи этой технологии можно будет обходить российские блокировки, если, конечно, второй промежуточный узел партнера будет не в России)).

Уже пишут, что услуга не будет доступна пользователям в Китае, Беларуси, Казахстане, Туркменистане, Колумбии, Египте, Саудовской Аравии, Южной Африке и Филиппинах. Очень интересно, как Apple будет объяснять свое решение по Беларуси и Казахстану.

А вот что еще обещают из интересных мелочей:

• Пользователи Apple смогут приглашать других пользователей участвовать в зашифрованных аудио- и видеозвонках Facetime, чтобы те соединялись из браузера по ссылке, не регистрируя аккаунт. Facetime считается прилично защищенным средством коммуникации и использует оконечное (end-to-end) шифрование, но до сих пор был доступен только на устройствах Apple.

• В родном почтовом приложении и браузере Safari пользователи iCloud+ смогут регистрировать ящики для пересылки (то, что у айтишников называется алиасы), чтобы не "палить" свой основной ящик по всему интернету.

Сегодня днем в течение часа не работала куча крупных сайтов (Reddit, CNN, The Verge, Amazon, Bloomberg, Vimeo, Twitter) из-за сбоя у CDN-провайдера Fast.ly. В это время американский сайт о компьютерах The Verge анонсировал новые материалы в Twitter, а контент выставлял в Google Docs! (пример)

Какая элегантная идея! Ее можно использовать для создания зеркал и обхода интернет-цензуры. Интересно, будет ли Google такое блокировать.

Email провайдер Fastmail убирает приложения из российских Play Market и App Store и собирается блокировать регистрацию новых аккаунтов из России. Это решение компания приняла, чтобы не переносить сервера в Россию и не открывать российское юрлицо по требованию Роскомнадзора. Уже зарегистрированные пользователи смогут продолжать пользоваться сервисом.

Fastmail пишет, что получил предписание Роскомнадзора в июле прошлого года и пытался оспорить его в суде, но проиграл. Поскольку российских пользователей у них немного, компании проще официально уйти с рынка. А тем, кого коснулось это решение, компания предлагает обращаться в Роскомсвободу!

Fastmail существует больше 20 лет за счет очень простой бизнес-модели: он берет с пользователей деньги за подписку, но не следит за ними и не перепродает их данные. А еще Fastmail использует свободное ПО, и разработчики компании отдавали много своего кода в сообщество, например, в проект Cyrus IMAP.

Очень жаль, когда такие игроки уходят с рынка. Но зарегистрировать новый аккаунт Fastmail вы по-прежнему сможете при помощи средств обхода блокировок. Если вы не очень в теме - заходите на сайт https://openrunet.org/, мы вам все объясним.

Protonmail, который по-прежнему заблокирован в России, вчера вечером выпустил релиз своего календаря. Proton Calendar доступен всем пользователям, в том числе на бесплатном тарифном плане.

Одновременно компания обновила политику конфиденциальности и объяснила, какие данные календаря как защищены. У Protonmail нет доступа к названию и описанию событий календаря, месту проведения и деталям участников, так как вся эта информация шифруется оконечным шифрованием. Доступ к некоторым метаданным компании нужен для рассылки приглашений и напоминаний, поэтому Protonmail имеет доступ к названию и описанию всего календаря (не события), дате начала и конца событий, правилам повторения событий, статусу участия приглашенных участников, и дате создания и обновления событий.

Удаленные события календаря сразу удаляются с серверов сразу, но еще до 30 дней могут оставаться в резервных копиях. Выдает пользовательские данные Protonmail только по официальному запросу компетентных органов в Швейцарии.

А еще вчера Protonmail сделал редизайн веб-интерфейса и там теперь красота!

Автомобили сливают перемещения владельцев дата-брокерам для перепродажи

Новое журналистское расследование Vice рассказывает об израильской компании Otonomo (https://otonomo.io/), которая торгует данными геолокации автомобилей, полученными из бортовых компьютеров. Поиска по фамилии владельца в их базах нет, но исследователи часто могут вычислить фамилию, анализируя перемещения машины.

Otonomo имеет партнерские соглашения с 16 автопроизводителями и собирает данные из бортовых компьютеров примерно 40 миллионов автомобилей. Основное количество "установок" приходится на BMW Group и General Motors, но в их презентации для инвесторов еще фигурирует Daimler, Renault Nissan Mitsubisi и FCA/PSA.

Данные в системе Otonomo "обезличены", то есть фамилий владельцев там нет, но каждому автомобилю соответствует уникальный идентификатор, поэтому можно нанести на карту перемещения конкретного автомобиля и догадаться, где его владелец живет и работает, что редакция и сделала. Исследователь, который помогал готовить статью, смог сопоставить эти данные с другими базами и установить с высокой долей вероятности, кто эти люди.

Когда Vice стал задавать Otomono вопросы, представитель компании ответил, что деанонимизировать пользователей по геолокации вообще-то запрещено правилами использования, то есть с самими данными все хорошо, просто журналисты - редиски. А эксперты EFF (Фонда Защиты Электронных Рубежей) комментируют, что историю геолокации автомобиля совсем обезличить невозможно, и с точки зрения приватности продажа таких данных на рынке - это кромешный ад.

Вчера немецкий парламент одобрил законопроект, по которому спецслужбы получают права устанавливать средства слежки (фактически, трояны) на устройства граждан, даже если те не совершили и не подозреваются в совершении преступлений. А сервис-провайдеров новый закон обязывает содействовать спецслужбам. Немецкие правозащитники считают, что теперь от провайдеров могут требовать встраивать государственное ПО для слежки в обновления операционных систем и приложений. Речь видимо идет об обновлениях ОС для операторских смартфонов и собственных приложениях операторов связи, каких-нибудь немецких аналогах "Мой МТС".

Идея понятная. Есть, к примеру, Signal с оконечным шифрованием. Люди по нему неизвестно о чем разговаривают, а как это взламывать на лету, никто не знает. Государство может пытаться мешать людям разговаривать, как в России пробовали с Telegram, но вот у России не получилось, это слишком сложно. Тогда надо заразить пользователей трояном и копировать их переговоры прямо с устройств. Но как доставить троян на устройства, они же не согласятся сами его устанавливать? Надо встроить его в какие-то файлы, которые пользователи точно запустят, например, в обновления.

Эксперты по онлайн-приватности, активисты типа популярного в Германии ССС (Chaos Computer Club) и даже корпорации типа Google и Facebook активно сопротивлялись принятию нового закона, выступали и подписывали петиции, но закон все равно приняли. Теперь надежда на Конституционный Суд.

Противники нового закона говорят важную вещь. Государственные трояны с сохранением общей безопасности коммуникаций - это утопия. Пока ни у кого не получилось реализовать систему, в которой все хорошие ребята с правильными намерениями могут обходить безопасность, а все плохие ребята - не могут.

Всегда было интересно, а как быстро какой-нибудь Facebook удаляет контент по запросу Роскомнадзора. А тут статистика от самого РКН: Twitter удаляет в среднем за 8 дней, Facebook/Instagram - за 105 дней, Google/YouTube - за 82 дня. Данные в России из них не локализовал никто.

В общем, Google и Facebook удаляют медленно и не все, и переносить данные в Россию по-прежнему не хотят.

Обновился децентрализованный мессенджер Briar для Android. В новой версии добавили передачу фото в чатах и автоматическое удаление сообщений по таймеру.

Briar интересен тем, что это децентрализованная система, которая работает через сеть Tor, а также может работать напрямую через Wifi и Bluetooth без подключения к интернету. Приложение поддерживает чаты, приватные группы и "форумы" (это типа публичных групп, где любой участник может приглашать новых участников), у него открытые исходники и оконечное (end-to-end) шифрование. Аккаунты пользователей не привязаны ни к номерам телефонов, ни к адресам email.

Децентрализованная система - это правильная архитектура: их сложнее блокировать, а за их пользователями сложнее следить.

Ресурс Torrentfreak обновил ежегодный отчет о том, как крупные VPN-провайдеры защищают приватность своих пользователей. Этот отчет - не рейтинг, представители провайдеров заполняют стандартную анкету из 12 вопросов, а потом сайт публикует все ответы.

В целом, ни один из участвовавших в этом году VPN-сервисов не пишет логи активности пользователей и не выдает эти данные. У всех есть базовый функционал типа kill switch (то есть данные не уходят мимо VPN напрямую при обрыве VPN-соединения) и защита от утечек DNS и IPv6. Фактическая разница между провайдерами - в другом: в каких странах зарегистрированы их компании (то есть решениям каких судов подчиняются), принимают ли они оплату криптовалютами и используют ли внешние сервисы электронной почты или мониторинга, в которых могут оставаться данные пользователей (например, корпоративную почту Google или мониторинг Google Analytics на сайте).

В этом году на вопросы ответили 19 компаний: NordVPN, ExpressVPN, PIA, TorGuard, IVPN, Windscribe, VPNArea, Surfshark, Oeck, AtlasVPN, Speedify, AirVPN, Trust.Zone, SwitchVPN, Mullvad, Perfect Privacy, Hideme, AzireVPN, Guardian. Если вы пользуетесь одним из этих сервисов - почитайте, что они о себе рассказывают.

Кстати, если вы выбираете VPN-провайдера прямо сейчас, у Роскомсвободы есть сервис https://vpnlove.me со ссылками на провайдеров, которым мы доверяем.